Desde o lançamento do seu programa de recompensas por bugs há quase uma década, a Apple sempre promoveu pagamentos máximos notáveis – US$ 200.000 em 2016 e US$ 1 milhão em 2019. Agora a empresa está aumentando as apostas novamente. Na conferência de segurança ofensiva Hexacon em Paris na sexta-feira, o vice-presidente de engenharia e arquitetura de segurança da Apple, Ivan Krstić, anunciou um novo pagamento máximo de US$ 2 milhões para uma cadeia de explorações de software program que poderiam ser utilizadas para spyware and adware.
A mudança reflete o quão valiosas podem ser as vulnerabilidades exploráveis no ambiente móvel altamente protegido da Apple – e até onde a empresa fará para evitar que tais descobertas caiam em mãos erradas. Além de pagamentos individuais, a recompensa por bugs da empresa também inclui uma estrutura de bônus, adicionando prêmios adicionais para explorações que podem contornar seu modo de bloqueio additional seguro, bem como aquelas descobertas enquanto o software program da Apple ainda está em fase de testes beta. Tomados em conjunto, o prémio máximo para o que de outra forma seria uma cadeia de exploração potencialmente catastrófica será agora de 5 milhões de dólares. As mudanças entram em vigor no próximo mês.
“Estamos fazendo fila para pagar muitos milhões de dólares aqui, e há uma razão”, disse Krstić à WIRED. “Queremos ter certeza de que, para as categorias mais difíceis, os problemas mais difíceis, as coisas que melhor refletem os tipos de ataques que vemos com spyware and adware mercenário, os pesquisadores que possuem essas habilidades e habilidades e dedicam esse esforço e tempo podem obter uma recompensa tremenda.”
A Apple afirma que existem mais de 2,35 bilhões de seus dispositivos ativos em todo o mundo. A recompensa por bugs da empresa period originalmente um programa apenas para convidados para pesquisadores proeminentes, mas desde que foi aberto ao público em 2020, a Apple afirma que concedeu mais de US$ 35 milhões a mais de 800 pesquisadores de segurança. Os pagamentos de alto valor são muito raros, mas Krstić diz que a empresa fez vários pagamentos de US$ 500.000 nos últimos anos.
Além de recompensas potenciais mais altas, a Apple também está expandindo as categorias de recompensas de bugs para incluir certos tipos de explorações de infraestrutura de navegador “WebKit” de um clique, bem como explorações de proximidade sem fio realizadas com qualquer tipo de rádio. E há até uma nova oferta conhecida como “Goal Flags” que coloca o conceito de competições de captura de bandeira em testes reais do software program da Apple para ajudar os pesquisadores a demonstrar as capacidades de suas explorações de forma rápida e definitiva.
A recompensa por bugs da Apple é apenas um dos muitos investimentos de longo prazo que visam reduzir a prevalência de vulnerabilidades perigosas ou bloquear a sua exploração. Por exemplo, depois de mais de cinco anos de trabalho, a empresa anunciou no mês passado uma proteção de segurança na nova linha do iPhone 17 que visa anular a classe de bugs do iOS mais frequentemente explorada. Conhecido como Reminiscence Integrity Enforcement, o recurso é uma grande mudança que visa proteger uma pequena minoria dos grupos mais vulneráveis e altamente visados em todo o mundo – incluindo ativistas, jornalistas e políticos – ao mesmo tempo que adiciona defesa para todos os usuários de novos dispositivos. Para isso, a empresa anunciou na sexta-feira que doará mil iPhones 17 a grupos de direitos humanos que trabalham com pessoas em risco de enfrentar ataques digitais direcionados.
“Podemos dizer, bem, que parece ser um esforço muito grande para proteger apenas aquele número muito pequeno de utilizadores que estão a ser alvo de spyware and adware mercenário, mas há apenas este histórico incontestável descrito por jornalistas, empresas tecnológicas e organizações da sociedade civil de que estas tecnologias estão constantemente a ser abusadas”, diz Krstić. “E sentimos uma grande obrigação ethical de defender esses usuários. Apesar de a grande maioria dos nossos usuários nunca ser alvo de algo assim, esse trabalho que fizemos acabará aumentando a proteção para todos.”
